Dela via


Integrera P2S RADIUS-autentisering med NPS för multifaktorautentisering

Artikeln hjälper dig att integrera NPS (Network Policy Server) med AZURE VPN Gateway RADIUS-autentisering för att leverera multifaktorautentisering (MFA) för punkt-till-plats-VPN-anslutningar (P2S).

Förutsättningar

  • Microsoft Entra-ID: För att kunna aktivera MFA måste användarna vara i Microsoft Entra-ID, som måste synkroniseras från antingen den lokala miljön eller molnmiljön.

    • Användaren måste ha slutfört processen för automatisk registrering för MFA. Mer information finns i Konfigurera mitt konto för tvåstegsverifiering.

    • Om din MFA är textbaserad (SMS, verifieringskod för mobilappar osv.) och kräver att användaren anger en kod eller text i VPN-klientgränssnittet lyckas inte autentiseringen och är inte ett scenario som stöds.

  • Routningsbaserad VPN-gateway: Du måste redan ha en routningsbaserad VPN-gateway. Anvisningar för hur du skapar en routningsbaserad VPN-gateway finns i Självstudie: Skapa och hantera en VPN-gateway.

  • NPS: Du måste redan ha installerat nätverksprincipservern och konfigurerat VPN-principen för RADIUS.

Skapa RADIUS-klient

  1. Skapa RADIUS-klienten genom att ange följande inställningar:
    • Eget namn: Ange valfritt namn.
    • Adress (IP eller DNS): Använd det angivna värdet för ditt VPN Gateway Gateway-undernät. Till exempel 10.1.255.0/27.
    • Delad hemlighet: Skriv valfri hemlig nyckel och kom ihåg den för senare användning.
  2. På fliken Avancerat anger du leverantörsnamnet till RADIUS Standard och kontrollerar att kryssrutan Ytterligare alternativ inte är markerad. Välj sedan OK.
  3. Gå till Principer>Nätverksprinciper. Dubbelklicka på Anslutningar till Microsofts routnings- och fjärråtkomstserverprincip . Välj Bevilja åtkomst och välj sedan OK.

Konfigurera VPN-gatewayen

  1. I Azure Portal öppnar du din virtuella nätverksgateway (VPN-gateway).

  2. På sidan Översikt kontrollerar du att gatewaytypen är inställd på VPN och att VPN-typen är routningsbaserad.

  3. I den vänstra rutan expanderar du Inställningar och väljer Punkt-till-plats-konfiguration>Konfigurera nu.

  4. Visa sidan Punkt-till-plats-konfiguration.

    Skärmbild som visar konfigurationssidan punkt-till-plats.

  5. På sidan Punkt-till-plats-konfiguration konfigurerar du följande inställningar:

    • Adresspool: Det här värdet anger klientadresspoolen från vilken VPN-klienterna får en IP-adress när de ansluter till VPN-gatewayen. Adresspoolen måste vara ett privat IP-adressintervall som inte överlappar adressintervallet för det virtuella nätverket. Till exempel 172.16.201.0/24.
    • Tunneltyp: Välj tunneltyp. Välj till exempel IKEv2 och OpenVPN (SSL).
    • Autentiseringstyp: Välj RADIUS-autentisering.
    • Om du har en aktiv-aktiv VPN-gateway krävs en tredje offentlig IP-adress. Du kan skapa en ny offentlig IP-adress med hjälp av exempelvärdet VNet1GWpip3.
    • IP-adress för primär server: Ange IP-adressen för nätverksprincipservern (NPS).
    • Primär serverhemlighet: Ange den delade hemlighet som du angav när du skapade RADIUS-klienten på NPS.
  6. Spara konfigurationsinställningarna överst på sidan.

När inställningarna har sparats kan du klicka på Ladda ned VPN-klienten för att ladda ned VPN-klientkonfigurationspaketet och använda inställningarna för att konfigurera VPN-klienten. Mer information om P2S VPN-klientkonfiguration finns i tabellen För punkt-till-plats-klientkonfigurationskrav .

Integrera NPS med Microsoft Entra MFA

Använd följande länkar för att integrera NPS-infrastrukturen med Microsoft Entra multifaktorautentisering:

Nästa steg

Anvisningar för hur du konfigurerar VPN-klienten finns i tabellen För punkt-till-plats-klientkonfigurationskrav .